ตัวควบคุมโดเมนแบบอ่านอย่างเดียวมีประโยชน์อย่างไรจริง ๆ


18

Windows Server 2008 แนะนำตัวควบคุมโดเมนแบบอ่านอย่างเดียวซึ่งได้รับแบบจำลองเต็มของฐานข้อมูลโดเมน แต่ไม่สามารถแก้ไขได้เช่นเดียวกับ Windows NT BDC รุ่นเก่า

ฉันรู้เทคนิคทั้งหมดและลึกหนาบางของวิธีการเรียกใช้เซมิคอนดักเตอร์เหล่านั้น (ฉันเพิ่งผ่าน 70-646 และ 70-647) แต่ฉันยังไม่มีคำตอบที่ชัดเจนสำหรับคำถามที่สำคัญที่สุดของทั้งหมด: ทำไมคุณควร ใช้พวกเขาเหรอ?


ความคิดเห็นจาก TheCleaner นี้สรุปมันสำหรับฉัน:

@ Massimo - ใช่คุณถูกต้อง คุณกำลังมองหาเหตุผลที่น่าสนใจสำหรับ RODC และไม่มีอยู่จริง มีคุณสมบัติความปลอดภัยเพิ่มเติมเล็กน้อยเพื่อช่วยบรรเทาความปลอดภัยของสำนักงานสาขาและจำเป็นต้องนำไปใช้จริง ๆ เท่านั้นหากคุณไม่มี DC ที่นั่นอยู่แล้วและปลอดภัยเกี่ยวกับความปลอดภัยของมัน

นั่นคือสิ่งเดียวกับที่ฉันคิด ... เพิ่มความปลอดภัยเล็กน้อยใช่แน่นอน แต่แน่นอนว่าไม่คุ้มกับความยุ่งยาก

คำตอบ:


10

ฉันจะให้สถานการณ์จริงแก่คุณ:

  • เรามีสำนักงานสาขาในประเทศจีน

เราใช้เพราะไม่มีแผนกไอทีที่นั่นเราจัดการคำขอทั้งหมดสำหรับบัญชี AD ฯลฯ ที่นี่ในสหรัฐอเมริกา โดยการมี RODC เรารู้:

  1. ไม่มีใครสามารถเข้าสู่ระบบและพยายาม "แฮ็ค" ที่ AD
  2. ไม่มีใครสามารถขโมยและรับสิ่งที่คุ้มค่าจากนั้นกลับมาพร้อมกับ "แฮ็ก" ที่เครือข่ายในภายหลัง

การมี AD / DNS อ่านอย่างเดียวทำให้เราไม่ต้องกังวลเกี่ยวกับความพยายามในการจัดการข้อมูลใน DC ที่นั่น

นี่เป็นเพราะคุณสมบัติพบได้ที่นี่: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

มันเป็น "ความสงบของจิตใจ" มากกว่าสิ่งอื่นใดสำหรับเรา ... และมันอนุญาตให้ติดตั้งเซิร์ฟเวอร์ที่น้อยมากเพราะมันเป็นเพียงแค่เซิร์ฟเวอร์หลักที่ติดตั้งบทบาท RODC เราวางไว้บนเซิร์ฟเวอร์ 1U รุ่นเก่าที่มีไดรฟ์ 2 Raid-1 18GB จริง ๆ แล้วเราใส่ 2 ใน ... การกำหนดค่าที่แน่นอนเดียวกันโดยใช้ฮาร์ดแวร์ที่ไม่มีการรับประกันเก่าที่เรามีในชั้น

เรียบง่ายทำในสิ่งที่ต้องทำและเราไม่ต้องกังวลกับมัน หากกล่องใดกล่องหนึ่งล้มเหลวเราจะเปลี่ยนกล่องใหม่ทันที


1
คุณบอกว่าไม่มีใครสามารถเข้าสู่ระบบได้ แต่ไม่มีใครสามารถเข้าสู่ DC มาตรฐานได้เช่นกันหากเขาไม่มีข้อมูลรับรองโดเมนที่เหมาะสม ดังนั้นความปลอดภัยที่ปรับปรุงแล้วอยู่ที่ไหน เกี่ยวกับการขโมยมัน: DC ที่ถูกเขียนได้จะมีอันตรายแค่ไหนถ้าจะอ่านได้อย่างเดียวที่ถูกขโมย?
Massimo

2
@Massimo - หมายถึงการเข้าสู่ระบบนั่นเป็นเพียงปัญหาหากบุคคลนั้นมีสิทธิ์ในเครื่องคุณจะถูกต้อง อย่างไรก็ตามเราอนุญาตให้บัญชีเหล่านั้นมีไม่กี่บัญชีเพื่อให้พวกเขาสามารถตรวจสอบการสำรองข้อมูล / สลับเทปสำรองข้อมูล เพื่อความปลอดภัยทางกายภาพ DC ที่เขียนได้ที่ถูกขโมยจะช่วยให้คุณสามารถตรวจสอบข้อมูลประจำตัวและรหัสผ่านของพวกเขาและกลับมาที่เครือข่ายในภายหลังเพื่อรับข้อมูลเพิ่มเติม ... RODC ไม่ได้
TheCleaner

@ Massimo - ฉันสังเกตเห็นใน OP ของคุณคุณพูดว่า "full replica" ... นี่เป็นข้อยกเว้นที่แท้จริงสำหรับรหัสผ่าน มันไม่ได้ทำซ้ำรหัสผ่านดังนั้นมันจึงกลายเป็นคุณสมบัติด้านความปลอดภัยที่ดีที่สุดสำหรับการโจรกรรม
TheCleaner

ตกลงรหัสผ่าน แต่พวกเขาไม่ได้เก็บไว้โดยใช้การเข้ารหัสทางเดียวหรือไม่ มันจะดีกว่าถ้ามีคนไม่จับพวกเขาเลย แต่ฉันไม่คิดว่าการถอดรหัสรหัสผ่านเป็นเรื่องง่าย
Massimo

3
RODC ไม่ได้เก็บรหัสผ่านแฮชถ้าคุณปิดใช้งานการแคช ... ฉันเชื่อว่ามันเก็บ "โทเค็นการเข้าสู่ระบบ" ใช่เริ่มแรกไคลเอนต์รับรองความถูกต้องกับ DC จริงในสถานที่ที่แตกต่าง ดูที่นี่: devendrathatte.blogspot.com/2009/04/…และที่นี่: milesconsultingcorp.com/…
TheCleaner

10

ฉันมีทั้งบทเกี่ยวกับคุณสมบัตินี้ในหนังสือของฉัน (www.briandesmond.com/ad4/) ยาวและสั้นของมันคือว่านี่เป็นคุณลักษณะด้านความปลอดภัยและสำหรับองค์กรกระจายมันเป็นเรื่องใหญ่

มีสองสถานการณ์ที่ยิ่งใหญ่จริงๆที่นี่:

-> RODCs ไม่เก็บรหัสผ่านเป็นค่าเริ่มต้น ซึ่งหมายความว่าหากใครบางคนได้รับดิสก์จากเซิร์ฟเวอร์พวกเขาจะไม่ได้รับรหัสผ่านของผู้ใช้ (และคอมพิวเตอร์) ทั้งหมด

การตอบสนองที่ถูกต้องหากใครบางคนขโมย RWDC เพื่อรีเซ็ตรหัสผ่านทั้งหมดในโดเมนตามที่คุณสามารถพิจารณาได้ว่าพวกเขาถูกบุกรุกทั้งหมด นี่คือการดำเนินการที่สำคัญ

ด้วย RODC คุณสามารถพูดได้เพียงแคชรหัสผ่านสำหรับเซตย่อย X ของผู้ใช้และคอมพิวเตอร์ เมื่อ RODC ทำการแคชรหัสผ่านจริงมันจะเก็บข้อมูลนั้นไว้ใน AD หาก RODC ถูกขโมยตอนนี้คุณมีรายการรหัสผ่านขนาดเล็กซึ่งจำเป็นต้องรีเซ็ต

-> RODC ทำซ้ำทางเดียว หากมีคนขโมย RWDC ของคุณทำการเปลี่ยนแปลงบางอย่างแล้วเสียบกลับเข้าไปใหม่การเปลี่ยนแปลงเหล่านั้นจะทำซ้ำกลับสู่สภาพแวดล้อม ตัวอย่างเช่นพวกเขาอาจเพิ่มตัวเองลงในกลุ่มผู้ดูแลระบบโดเมนหรือรีเซ็ตรหัสผ่านผู้ดูแลระบบหรืออะไรบางอย่าง ด้วย RODC สิ่งนี้ไม่สามารถทำได้

ไม่มีการปรับปรุงความเร็วจนกว่าคุณจะวาง RODC ไว้ในสถานที่ซึ่งไม่มี DC มาก่อนแล้วมีแนวโน้มว่าจะมีการปรับปรุงความเร็วในบางสถานการณ์

การตอบกลับของ TheCleaner นั้นไม่ถูกต้องจริงๆ มีสถานการณ์ที่น่าสนใจมากมายสำหรับ RODCs และฉันสามารถนึกถึงการใช้งานหลายอย่างของพวกเขาในระดับสเกลทันที นี่คือสิ่งที่เกี่ยวกับความปลอดภัยอย่างง่ายไม่ใช่สิ่งที่ "ก้นเรื่องความปลอดภัย"

ขอบคุณ

ไบรอันเดสมอนด์

MVP ของ Active Directory


Brian ขอบคุณสำหรับคำตอบโดยละเอียด แต่ฉันก็ยังอยากรู้อยากเห็นเหมือนก่อนหน้าเกี่ยวกับบางสิ่ง: 1) หากใครบางคนสามารถเข้าร่วม DC ได้เขาจะเปลี่ยนแปลงโดเมนได้อย่างไรถ้าเขาไม่มีผู้ดูแล บัญชีผู้ใช้? เขาจะไม่สามารถเข้าสู่ระบบได้ 2) หากมีคนขโมย DC จะได้รับรหัสผ่านจากฐานข้อมูลโฆษณาได้อย่างไร พวกมันถูกเก็บไว้ในฐานข้อมูลที่เป็นกรรมสิทธิ์โดยใช้การเข้ารหัสทางเดียว (และค่อนข้างแข็งแกร่งอย่างหนึ่งคือ IIRC) 3) หาก DC ของคุณถูกขโมยและผู้ที่ขโมยข้อมูลนั้นสามารถเข้าถึงเครือข่ายของคุณและเชื่อมต่อกลับมามีบางสิ่งที่ผิดปกติในระบบความปลอดภัยของคุณ ... และไม่มี RODC ที่จะแก้ไขได้
Massimo

1
เกี่ยวกับ 1 และ 2 มีเครื่องมือที่มีอยู่บนอินเทอร์เน็ตที่ยินดีที่จะใช้ฐานข้อมูลโฆษณาและอ่าน / เขียนโดยตรง สิ่งที่คุณต้องทำคือเปิดฮาร์ดไดรฟ์ในที่ที่มีและเปิดจากเครื่องอื่น ตกลงเมื่อวันที่ 3 ในระดับหนึ่ง หลายองค์กรมี DC หลายร้อยแห่งในสำนักงานสาขาทั่วโลก ฉันสามารถบอกคุณได้ทันทีว่าการบังคับใช้ความปลอดภัยทางกายภาพในตู้เสื้อผ้า 10,000 ไมล์จากโต๊ะทำงานของคุณนั้นเป็นไปไม่ได้
Brian Desmond

หากคนเลวสามารถเข้าถึงฮาร์ดแวร์ของคุณ - มันไม่ใช่ฮาร์ดแวร์ของคุณอีกต่อไป คุณใช้ Bitlocker เพื่อให้ DC ปัจจุบันของคุณเริ่มต้นด้วยหรือไม่ ถ้าไม่ลองทำแบบนั้นเพื่อเริ่มต้นด้วยการเข้ารหัสดิสก์เต็มรูปแบบหรืออื่น ๆ ... ถ้าคนร้ายมีข้อมูลของคุณ - คุณคือ SOL ^^
Oskar Duveborn

1

คุณต้องการ RODC เมื่อคุณมีสำนักงานสาขาจำนวนมากที่มีความปลอดภัยทางกายภาพต่ำและ / หรือการเชื่อมต่อเครือข่ายที่ช้าหรือไม่น่าเชื่อถือ ตัวอย่าง:

  • ผู้ให้บริการทางการแพทย์ที่มีสำนักงานกลางและคลินิกหน้าร้านที่เคลื่อนที่บ่อยและใช้ DSL / เคเบิลสำหรับการเชื่อมต่อ
  • บริษัท ที่มีสิ่งอำนวยความสะดวกในพื้นที่ห่างไกลที่โครงสร้างพื้นฐาน telco ไม่น่าเชื่อถือหรือที่คุณถูกบังคับให้ใช้เครือข่ายโทรศัพท์เคลื่อนที่หรือดาวเทียม

องค์กรส่วนใหญ่มีมาตรฐานความปลอดภัยทางกายภาพสำหรับอุปกรณ์ระยะไกล หากคุณไม่สามารถปฏิบัติตามข้อกำหนดเหล่านั้น RODC จะอนุญาตให้คุณตรวจสอบสิทธิ์ความเร็วสูงเพื่อการเข้าถึงแอปพลิเคชันในพื้นที่และการแบ่งปันไฟล์ พวกเขายังช่วยให้คุณสามารถ จำกัด จำนวนของข้อมูลประจำตัวที่เก็บไว้บนเซิร์ฟเวอร์ เซิร์ฟเวอร์ที่ถูกโจมตีจะทำอันตรายต่อผู้ใช้ที่อยู่ในสถานที่ห่างไกล DC ทั้งหมดที่มีผู้ใช้ 75,000 คนจะเปิดเผยผู้ใช้ทั้งหมดในกรณีที่มีการประนีประนอมท้องถิ่น

หากคุณทำงานใน บริษัท ขนาดเล็กมันไม่ใช่เรื่องใหญ่อะไรเลย ฉันถูกบีบให้ใช้ BitLocker เพราะ RODC ลดความเสี่ยงด้านความปลอดภัยลงอย่างมาก


1

เราจะใช้ RODC ใน DMZ ซึ่งอ้างอิงจากบทความTechNetนี้ การตั้งค่าฟอเรสต์ใหม่สำหรับเว็บเซอร์วิสด้วย RODC ใน DMZ


0

หลักเพื่อความปลอดภัย แต่ยังเพื่อความเร็วเช่นกัน

ดูบทความสั้น ๆที่นี่


2
ฉันไม่เห็นด้วยกับสิ่งที่ "ความเร็ว" หากผู้ใช้จำเป็นต้องรับรองความถูกต้องกับ DC "ของจริง" แล้ว RODC จะไม่เร่งความเร็วอะไรเลย: การมี DC ที่เขียนได้ในไซต์แทนที่จะเป็น RODC จะเร็วขึ้นจริง
Massimo

0

RODC ประกอบด้วยสำเนาโฆษณาแบบอ่านอย่างเดียวของคุณและคุณใช้สำนักงานในสาขาที่คุณไม่มีเจ้าหน้าที่ไอทีอยู่ดังนั้นจึงไม่สามารถรับประกันความปลอดภัยหรือความสมบูรณ์ของห้องเซิร์ฟเวอร์ของคุณ ในกรณีที่ RODC ถูกประนีประนอมคุณจะปลอดภัยในความรู้ที่ว่าใครก็ตามที่ประนีประนอมมันจะสามารถเข้าถึงโฆษณาของคุณในสภาพที่เป็นอยู่ในเวลาที่ค้นพบ จะไม่มีการเปลี่ยนแปลงเกิดขึ้นกับ DC หลักของคุณ ซึ่งหมายความว่าผู้ที่ประนีประนอมมันจะไม่สามารถทำสิ่งที่น่ารังเกียจเช่นยกระดับตัวเองให้เป็นผู้ดูแลโดเมนล็อคผู้ดูแลระบบของคุณและมีวิธีที่ชั่วร้ายกับเครือข่ายทั้งหมดของคุณ


คุณหมายถึงอะไรโดย "ไม่มีการเปลี่ยนแปลงใด ๆ ที่จะทำซ้ำ" ถ้าฉันสามารถได้รับการเข้าถึงการบริหารการโฆษณาซึ่งเป็นสิ่งจำเป็นต่อการเปลี่ยนแปลงอะไรเลยแล้วฉันสามารถเชื่อมต่อ ADUC เป็น "ของจริง" DC (RDP หรือเป็นมัน) และทำให้การเปลี่ยนแปลงของฉันโดยตรงมี และถ้าฉันไม่สามารถเข้าถึงการเข้าถึงแบบผู้ดูแลระบบฉันไม่สามารถทำอะไรได้เลยแม้ว่าฉันจะมี DC นั่งอยู่บนโต๊ะของฉัน
Massimo

2
@ Massimo - ใช่คุณถูกต้อง คุณกำลังมองหาเหตุผลที่น่าสนใจสำหรับ RODC และไม่มีอยู่จริง มีคุณสมบัติความปลอดภัยเพิ่มเติมเล็กน้อยเพื่อช่วยบรรเทาความปลอดภัยของสำนักงานสาขาและจำเป็นต้องนำไปใช้จริง ๆ เท่านั้นหากคุณไม่มี DC ที่นั่นอยู่แล้วและปลอดภัยเกี่ยวกับความปลอดภัยของมัน
TheCleaner

@Massimo คุณไม่จำเป็นต้องมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในการเปลี่ยนแปลงอะไร - บูตจาก DVD และคุณสามารถเขียนไปยังฐานข้อมูลโฆษณาได้โดยตรง
Richard Gadsden

0

RODCs มีประโยชน์สำหรับองค์กรธุรกิจขนาดใหญ่การแข่งขันบริการไดเรกทอรีขององค์กรเช่น Novell eDirectory มีการจำลองแบบอ่านอย่างเดียวเป็นเวลาหลายปี


0

ข้อดีอีกประการของ RODCs คือจะช่วยให้คุณมีตัวควบคุมโดเมนที่ใช้งานได้ในขณะที่คุณทำการกู้คืนความเสียหายซึ่งเกี่ยวข้องกับการยกเลิกตัวควบคุมโดเมนปกติทั้งหมดเพื่อสร้างไดเรกทอรีที่ใช้งานอยู่ คุณไม่จำเป็นต้องปิด RODCs ในสถานการณ์เหล่านั้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.